News TAA/MDS/RIDL_NG: Intel bestätigt 77 neue Sicherheitslücken und Fehler

[DocWindows]

Es ist nicht zu fassen was Intel veranstaltet.

Langsam sollten die Presse/Medien anfangen eine Kaufwarnung von Intel-CPUs rauszugeben.

Ich finds eher bemerkenswert was das Auffinden der Sicherheitslücken angeht. Einige gibts schon locker 10 Jahre und niemand hat da mal geforscht oder wenigstens drübergeschaut. Aber jetzt scheint man irgendwie Blut geleckt zu haben und popelt die CPUs fein säuberlich auseinander.
Erinnert mich ein bißchen an "Projekt Guttenplag"und die zahlreichen Nachfolgeprojekte.

Fehler in CPUs und entsprechende Errata gibts schon fast so lange wie es CPUs gibt. Teilweise werden und wurden sie nie gefixt, weil unkritisch.

 

[MuffiFM]

4% Performance-Verlust durch einen Fix?
Das macht dann... 77 gefundene Lücken mal 4 = 308% Performance-Verlust.

Ich arbeite jetzt also mit einem "sicher" gepatchten Intel-Rechner ca. 2x langsamer als...wenn ich einfach ruhig da sitzen und gar nichts machen würde!!!???

Das stimmt so glaube ich noch nicht ganz. Das sind bestimmt 4% je Kern und dann ist der 9900K schon bei 8 * 308% = 2.464% und mit aktiviertem Hyperthreading sogar 16 * 308% = 4.928%. Wenn dann noch schlechtes Wetter ist...

 

[dr. bob]

aber mal im ernst: was ich gerne mal hätte wäre eine tabelle mit cpus von alt bis neu und sowohl von intel als auch von amd, welche lücken welche cpu betreffen. ich surfe z. b. noch immer mit nem core 2 duo. ist der betroffen? wenn ja von was?
was ist mit meinem 2500k? kein smt. welche lücken betreffen ihn und welche nicht? wenn hier steht alle neuen modelle betroffen, dann offenbar auch die i5 ohne smt...

Ja, das wäre wirklich eine Bereicherung. Gibt es meines Wissens nach aber nicht in der gewünschten Vollständigkeit. Microsoft hat ein Powershell Tool zur Verfügung gestellt mit welchem man testen kann ob der eingene Rechner betroffen ist:

https://support.microsoft.com/en-us...d=_ehkj3bc1fkkftmaukk0sohz3x22xgonpw1jccjjk00


Die Kurzzusammenfassung: Sie müssen Powershell mit Admin-Rechten öffnen und anschließend über den Befehl
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned den Download und die Nutzung des von Microsoft bereitgestellten Powershell-Tools SpeculationControl erlauben. Anschließend wird das Modul über den Powershell-Befehl Install-Module SpeculationControl installiert und aktiviert. Der eigentliche Check des Systems erfolgt dann nach Eingabe des Befehls Get-SpeculationControlSettings

(Quelle: https://www.pcwelt.de/a/intel-cpu-bug-gratis-tool-specucheck-ueberprueft-rechner,3449282)

 

[darkcrawler]

Man sollte es wie AMD machen, die Sicherheitslücken einfach verschweigen.

Oder wie Leipziger, einfach ne ne wilde These in den Raum stellen mit der Intention, sie als Fakt zu verkaufen

 

[Salamimander]

Und Intel wird weiterhin ge- und verkauft. Gruselig

 

[Inxession]

Wahrscheinlich ist man als Privatanwender mit dem eigenen PC nicht wirklich interessant für einen Angriff.
Es sei den, es werden irgendwelche Exploits kommen, die die Lücken auszunutzen wissen...
Trotzdem hat man als Privatanwender seine Bedenken ... viele Daten liegen in einer Cloud, ...diese Cloud wird vermutlich auf einem System, mit einer der betroffenen CPUs, gehostet....

So sehr man auch mit Intel verbunden ist, ... Fanboy ist, Influencer oder gar Mitarbeiter ... so langsam ist es nicht mehr leicht, lobende und "gute" Worte über Intel zu verfassen.

Das wiegt auch die letzten paar Prozent SC Leistung nicht mehr auf ...

und überhaupt ...
der Aufschrei nach bekannt werden der Sicherheitslücken ist immer riesig.... und trotzdem gibt es nur wenige (und dann auch unübersichtliche) Vorher-/Nachher Tests, die den ganzen Performance Verlust mal aufzeigen.

Eine CPU ... gebencht wie gekauft.
die gleiche CPU gebencht mit allen Sicherheitspatches (übersichtlich in einer Tabelle zusammengefasst, erläutert welche SL damit geschlossen wird, etc...)

Bin wahrscheinlich der einzige Mensch auf diesem Planeten der so einen Test gerne mal sehen würde.

Ich glaube nämlich, ... Ryzen wäre vermutlich jetzt schon vorne (auch in Spielen)

 

[Minutourus]

Ich finds eher bemerkenswert was das Auffinden der Sicherheitslücken angeht. Einige gibts schon locker 10 Jahre und niemand hat da mal geforscht oder wenigstens drübergeschaut. Aber jetzt scheint man irgendwie Blut geleckt zu haben und popelt die CPUs fein säuberlich auseinander.
Erinniert mich ein bißchen an "Projekt Guttenplag"und die zahlreichen Nachfolgeprojekte.

Fehler in CPUs und entsprechende Errata gibts schon fast so lange wie es CPUs gibt. Teilweise werden und wurden sie nie gefixt, weil unkritisch.

Sehr Sinn befreit...

 

[psYcho-edgE]

Zudem wäre mal interessant von wem die "Universität Amsterdam" gesponsert wird, zufällig von AMD?

Zufälligerweise, wie jede öffentliche, niederländische Universität, vom Königreich der Niederlande.

 

[Zac4]

Ich finds eher bemerkenswert was das Auffinden der Sicherheitslücken angeht. Einige gibts schon locker 10 Jahre und niemand hat da mal geforscht oder wenigstens drübergeschaut. Aber jetzt scheint man irgendwie Blut geleckt zu haben und popelt die CPUs fein säuberlich auseinander.

Die Antwort ist einfach, seit März 2017 gibt es von Intel Bug-Bountys (Geld) für gefunden Sicherheitslücken und dieses Jahr wurde das von Intel nochmals verdoppelt Es lohnt sich einfach finanziell für jeden der etwas Ahnung hat nach Intel Sicherheitslücken zu suchen.

Vulnerability Severity     Intel Hardware w/ Side Channel Exploit through Software
Critical (9.0 – 10.0)     Up to $250,000
High (7.0 – 8.9)           Up to $100,000
Medium (4.0 – 6.9)        Up to $20,000
Low (0.1 – 3.9)            Up to $5,000

https://gbhackers.com/intel-bug-bounty-program/

 

[DocWindows]

@Minutourus Was für ein Sinn fehlt dir denn in meiner Beobachtung? Welchen Sinn sollte meine Beobachtung haben? Oder ist am Ende nur dein Post sinnbefreit? Der Sinn meines Postings ist zumindest der, meine Gedanken, die ich gerade zu dem Thema habe, zu äußern.

@Zac4 Dann schlägt sich Intel also selber gern die Dachlatte übern Schädel?
Naja, obwohl. Solche Foren wie hier wird der Durchschnittskäufer eh nicht lesen. Von daher könnte der Nutzen den vorübergehenden Imageschaden schon aufwiegen. Andererseits behauptet Intel ja auch den Großteil der Lücken eh selbst gefunden zu haben.

Whatever.

 

[Cruentatus]

Wirklich grausig wie sich Intel auch noch selbst abfeiert...

Etwas macht mich stutzig: Computerbase hat ja mal geschrieben dass sie Gerüchte nur publizieren wenn sie sie für sehr plausibel halten oder schon konkreteres dazu wissen.

In diesem Zusammenhang staune ich über die sehr deutliche Aussage von Volker: "[...]es wird nur wieder einige Monate brauchen, bis die nächste Sicherheitsbombe explodiert."

Weiß CB etwa schon mehr?

 

[kicos018]

4% Performance-Verlust durch einen Fix?
Das macht dann... 77 gefundene Lücken mal 4 = 308% Performance-Verlust.

Ich arbeite jetzt also mit einem "sicher" gepatchten Intel-Rechner ca. 2x langsamer als...wenn ich einfach ruhig da sitzen und gar nichts machen würde!!!???

Ich zitiere das mal, falls jemand auf der Suche nach nem Beispiel zu ner Milchmädchenrechnung ist.

 

[Cassiopea]

Man sollte es wie AMD machen, die Sicherheitslücken einfach verschweigen.

Zudem wäre mal interessant von wem die "Universität Amsterdam" gesponsert wird, zufällig von AMD?
Auch wäre interessant wie viele von diesen hoch theoretischen Lücken im Alttag überhaupt relevant sind.
Vermutlich, wie bei Meltdown/Spectre und Co., wird nicht eine davon relevant sein.

Aber sachlich zu bleiben passt nichts ins Konzept der Weltuntergang-Panik-Verbreitung.

Was gibt es denn da zu verschweigen wenn ein unabhängiges Institut die CPUs untersucht und darauf hin mit den gefundenen Lücken an die Öffentlichkeit geht? Löscht AMD dann das Internet oder was?

 

[Lübke]

Das heißt die alten sind sowieso betroffen und die neusten sollte es nicht sein, sind es aber auch! News nicht gelesen? Das ist ja gerade der Gau, das nun neue CPU's die Hardware seitig immun sein sollten nun doch wieder betroffen sind.

es sind ja keine wirklichen neuen cpus, es sind schlicht neue modelle der skylake-cpus. sozusagen skylake rev. 4. dementsprechend kann es auch keine grundlegenden veränderungen der ausführungseinheiten geben. bei bestehenden cpus hat intel leider nur die option per microcode zu patchen. die probleme sind leider alles andere als banal und erfordern einige grundsätzliche veränderungen der architektur.

 

[emeraldmine]

Hoffentlich wird die Produktpalette einfach billig verramscht.
DIE Chance auf ein Crunching-Billig-Intel-System.

 

[|SoulReaver|]

Heißt also Intel ist nicht intelligent genug Hardware zu entwickeln die sicher ist und muss bei AMD um Nachhilfe anfragen?

 

[XTR³M³]

bei AMD reibt man sich wohl grad die hände... lisa sitzt bestimmt im büro und macht grad das:

 

[Chillaholic]

Was die Forscher besonders sauer gemacht hat, ist dass Intel trotz diesen Infos behauptet hat ihre CPUs seien sicher und dann mal eben die Schweigepflicht für diese verlängert hat. Man hat also entgegen besseren Wissens seine Kunden angelogen und denen die es besser wissen nen Knebel verpasst. Diejenigen die jetzt Cascade Lake statt Epyc rumstehen haben, im Glauben hier wäre alles sicher werden sich freuen.

 

[Lübke]

Wahrscheinlich ist man als Privatanwender mit dem eigenen PC nicht wirklich interessant für einen Angriff.

also mit dem argument darfst du auch mit windows XP im internet surfen. als kleiner privatman wird dich sicher keiner angreifen, bist ja uninteressant als ziel...
aber so funktioniert es leider nicht. da sitzt nicht ein hacker auf der lauer um in handarbeit ein ziel anzugreifen sondern es wird schadsoftware geschaffen, die genau diese sicherheitslücken ausnutzt, egal wo sie sie findet. welche lücke im einzelnen jetzt welchen angriff zulässt, müsste geklärt werden. aber eine lücke mit einer 9,6 auf einer skala bis 10 als schlimmstmöglichen wert dürfte wohl schon gravierendere eingriffe erlauben vermute ich.

 

[Flossen_Gaming]

Na das wird ja immer lustiger ...